הקשחת דואר באמצעות ETR (התראה)

המאמר מתמקד בהקשחה דואר ארגוני באמצעות Exchange Transport Rule בלבד והינו חלק מסדרת מאמרים להקשחה באמצעות Exchange Online Protection, Office ATP והמון טיפים.

ספאם, פישינג ודואר זדוני הם בעיות שהולכות ומתגברות וככל שעובר הזמן הטכניקות של התוקפים משתפרות, למשל לאחרונה, התקפות פישינג נעשים באמצעות בוטים או יותר Bot Phishing אשר משלבים קישורים מבוססים HTTPS.

ביצוע הונאות באמצעות תעבורת הדואר עלולות להיות מגוונות עם אפשרויות שונות, למשל: שם תצוגה זהה, שם דומיין זהה, כתובת דואר זהה ולעיתים אפשר לשלב את כולם יחדיו ולקבל משהו ממש אמיתי.

למשל, בדוגמה המצורפת התקבל "מייל" עם שם תצוגה, כתובת מייל ובקשה מסוימת, חשוב להדגיש כי שליחת הדואר נעשתה מתוך מתוך מנגנון הכולל ומוגדר עם תקנים שונים כגון: Dkim.

כיום האפשרויות בשליחת דואר מתוך מנגנון מסוים פשוטה יותר מאשר בעבר, וכיום ישנם מנגנונים ברשת המאפשרים ביצוע התחזות עם כל הפרמטרים הנדרשים.

מיותר לומר שבמקרים מסוימים ישנה השקעה מירבית בקמפיינים וניתן לראות לעיתים דוגמאות כמו זאת שמצורפת, וגם לעין טכנית קשה לזהות את ההבדל.

מנגד ניתן לראות התעסקות רבה בהגנה על הארגון ולעיתים רבות מדובר על גבי שילוב מספר מערכות (שניים או שלושה מערכות) המבצעות הגנה כדוגמת Content filtering, Anti-spam וכן הגנה באמצעות חיזוי או ממוקדות בביצוע CDR או Sandboxים למינהם, וזאת במטרה למנוע את מתקפת הפישניג הבאה.

האם לתוקפים יש הצלחה? כן, אחוזי הצלחה גבוהים.

מהיכן הבעיה מגיעה? מעבר לעובדה שהטכניקות של התוקפים תמיד נמצאות כמה צעדים על פני המערכות שמבצעות הגנה, אפשר לומר שבגלל ריבוי מערכות אין ניצול נכון של היכולות בכל מערכת, אם אקח את הדוגמה של Exchange Online אפשר לומר שרוב הארגונים מנצל רק אחוז קטן מהיכולות הקיימות.

חשוב להדגיש כי בהגנה על הדואר ארגוני אנו יכולים לצמצם טעויות אנוש ולהקטין את שטח התקיפה באופן משמעותי.

הקשחת דואר ארגוני

להקשחת דואר ארגוני אין Best Practice או Recommendation מסוימים אלא Best from the Field וזאת בגלל סיבות רבות בינהם, להתקפות פישינג אין חוקים וישנה הרבה יצירתיות ודינמיות, ולכן נתחיל בהקשחות פשוטות ונתקדם עם המאמרים לתנאים מתקדמים כולל Prediction וכל זאת באמצעות Exchange Online או ליתר דיוק Exchange Transport Rule.

טיפ: האפשרויות חסימה והתניה ברמת ETR הן רבות ומגוונות, למשל ניתן ליצור חוק המשווה בין from לבין return-path ועל סמך השוואה לא תקינה למרקר או לחסום את הדואר, כלומר כל מאפיין אשר קיים ברמת Message Header זמין לנו.

התראה על דואר חיצוני עם אותו Display Name

ביצוע Spoofing והתחזות על גבי שם תצוגה עם הערך של Display Name היא בעיה נפוצה ולכן ניתן למרקר (או לחסום) דואר מהסוג הנ"ל באמצעות ההגדרה הבאה:

  • הבעיה – דואר חיצוני אשר מגיע עם אותו שם תצוגה
  • מניעה – חוק מותאם לדואר חיצוני עם אותו שם מזהה מול כלל תיבות הדואר

דגשים בחוק 

  • הגדרת נמענים חיצונים Outside the Orgnization
  • הגדרת ערך לבדיקה באמצעות A Message header matches של כלל תיבות הדואר
  • ביצוע פעולה המבוסס על חתימה לפי Prepend the disclaimer

טיפ: מכיוון שהגדרת תיבות דואר וכלל המתשמשים אינה אפשרית באופן פשוט מתוך הממשק ניתן להגדיר את כלל תיבות הדואר באמצעות PowerShell סקריפט אשר כולל את ערך from לפי השורה הבאה $displayNames = (Get-Mailbox -ResultSize Unlimited).DisplayName

להורדת הסקריפט המלא ExchangeOnline/DN_EXT_SPoof_EXO

טיפ: האפשרויות של הגדרת תנאים וחוקים על גבי PowerShell רחבות יותר מאשר בממשק אדמין.

לאחר הגדרת החוק ושליחת דואר עם אותו Display Name מגורם חיצוני נקבל את ההודעה הבאה

התראה על דואר חיצוני

דואר חיצוני עלול להכיל קישורים וקבצים זדוניים ולכן משתמשים עלולים ללחוץ או לפתוח פריטים מגורם חיצוני, ולכן החוק הבא מדגיש (מרקור הדואר וניתן לחסום גם) האם הדואר הגיע מגורם חיצוני.

  • הבעיה – דואר מגורם חיצוני
  • מניעה – חוק המדגיש קבלת דואר בגורם חיצוני 

דגשים בחוק

  • לוודא הגדרת Meesage from Ouside the Organization
  • אפשרי להוסיף לחוק התניה של Recipeitn located Inside the Organization
  • בהגדרת Prepend the disclaimer מומלץ לשמור על אותו מבנה כמו בחוק הקודם וזאת על מנת לאפשר להציג את ההודעה באותו מבנה ולא שורה נוספת ונפרדת

חסימת דואר עם דומיין זהה (Domain Look-Alike)

במקרים של טרגוט התוקף שולח דואר עם דומיין אשר זהה לדומיין שלנו בכדי לבצע סוג של Impersonation ולכן במקרים כאלה ניתן לראות כי גם שם התצוגה וגם שם הדומיין הוא זהה באופן שווה לנמען הפנימי.

החוק הבא חוסם קבלת דואר מגורם חיצוני עם שם דומיין זהה.

  • הבעיה – דואר מגורם חיצוני עם אותו Domain Name
  • מניעה – חסימת קבלת דואר מגורם חיצוני 

דגשים בחוק

  • הגדרת התניה של Sender is outside the Orgnization
  • התניה עם Recpient is Inside the Organization
  • חשוב מאוד The Sender domain is עם שם הדומיין הייעודי של הארגון
  • ביצוע הפעולה יכול מגוון פעולות ובדוגמה הבאה בחרתי באפשרות Generate Incident

טיפ: ביצוע האכיפה יכול להיות פעולה אחרת אך מומלץ לא להגדיר במצב כזה אכיפה עם חתימה והתראה במייל אלא לחסום.

לסיכום

הפעולות והדרכים להגדרת תנאים וחוקים על גבי ETR מאפשרים למרקר הודעות דואר מסוימות ולחסום מקרים אחרים, ואנו יכולים לשלוט על כל תעבורת דואר בהתאם לערכים והפרטמטרים המוצעים על גבי Exchange Online.

האפשרויות עם ETR הן מגוונות ואנו יכולים לקחת כל מאפיין אשר קיים ברמת Message Header.

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.